Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

Verfolgung starten Optionen
News: Betrifft Phison 2251-03

Alarm: USB-Trojaner - Tools und Bauanleitung jetzt öffentlich

Michael Nickles / 31 Antworten / Flachansicht Nickles
Der Sicherheitsforscher Adam Caudill aus den USA enthüllte die konkrete Vorgehensweise zum Missbrauch von USB-Speichersticks mit Phison 2251-03 Controller. (Foto: Youtube)

Anfang August wurde bekannt, dass sich USB-Speichersticks für jegliche bösartige Zwecke umprogrammieren lassen.

Simpler Grund ist, dass in jedem USB-Sticks ein Controller-Chip verbaut ist, der zwar nur ein kleines aber komplettes Rechenwerk ist.

Dieser "Nano-PC im Stick" lässt sich beispielsweise so umprogrammieren dass sich ein Stick als USB-Tastatur ausgibt und dann durch die Hintertür Kommandos im PC auslöst, die beispielsweise Schadcode über das Internet nachladen und einnisten.

Die Entdecker der fatalen Sicherheitslücke - die beiden deutschen Sicherheitsforscher Karsten Nohl und Jakob Lell - haben bereits im August erklärt, dass sich Sticks ganz einfach per Software von außen umprogrammieren lassen, es braucht dazu keinerlei spezielle Lötarbeiten, keine Eingriffe ins Innere der Sticks.

Details dazu, wie die Sicherheitslücke ausgenutzt werden kann, haben die Forscher verschwiegen. Jetzt ist aber alles ans Licht gekommen.

Adam Caudill und Brandon Wilson, zwei Sicherheitsforschern aus den USA, ging es in der Sache nicht schnell genug weiter und sie haben basierend auf den recht spärlichen Informationen der deutschen Forscher eigenmächtig weitergegraben.

Sie konnten den USB-Speicherstickmissbrauch reproduzieren und haben die dazu nötigen Tools auch gleich für jedermann im Internet auf dem Portal Github veröffentlicht und eine Schritt für Schritt Anleitung beigepackt.

Erklärt wurde die "BadUSB-Problematik" auch mit diesem Vortrag:

https://www.youtube.com/watch?v=xcsxeJz3blI

Quelle: https://www.youtube.com/watch?v=xcsxeJz3blI

Bekannt ist nun auch, dass der fiese Trick vermutlich nicht mit sämtlichen USB-Speichersticks oder gar USB-Geräten funktioniert sondern aktuell nur solchen, die mit dem USB-Controller-Chip "Phison 2251-03" bestückt sind.

Blöderweise gibt es aber wohl nicht sehr viele Hersteller von derlei USB-Controllern und der Chip von Phison scheint in sehr vielen USB-Speichersticks verbaut zu sein. Auf Phison.com wird der PS2251-03 mit Datumseintrag 2012-05-03 gelistet. Daraus lässt sich vermuten, dass alle USB-Speichersticks seit diesem Zeitpunkt potentiell riskant sind. Die detaillierten Spezifikationen des Chips gibt es hier.

Wer USB-Sticks an Rechnern mit vertraulichen Informationen verwendet und nicht riskieren will, dass er ausspioniert wird, sollte seine USB-Sticks dringend überprüfen.

Die nötige Vorgehensweise wird hier erklärt:

USB-Trojaner-Risiko - Phison 2251-03 Controller identifizieren

Michael Nickles meint:

Mein Bauch sagt mir, dass der Phison 2251-03 Controller nur die Spitze des Eisbergs ist - es wird noch eine ganze Menge USB-Sicherheitsmurks enthüllt werden! Ist es in Ordnung, dass Adam Caudill und Brandon Wilson die Tools nebst "Bauanleitung" im Netz öffentlich gemacht haben? Ja.

Es wäre Unsinn gewesen das nicht zu tun. Die Details zur Vorgehensweise waren zwar nicht bekannt, aber sie waren recht leicht zu erahnen. Wer im Netz ein wenig rumsucht kriegt schnell raus, dass es diverse Tools gibt, mit denen sich die Firmware von USB-Geräten/Controllern/Chips flashen lässt.

Man muss also kein "Einstein" sein drauf zu kommen, wie es genau gemacht wird. Eventuell wird diese USB-Lücke gar schon seit geraumer Zeit von Kriminellen und sonstigen Datenschnüfflern missbraucht.

Dank der jetzigen konkreten Veröffentlichung wissen wir wenigstens wie wir dran sind.

bei Antwort benachrichtigen
Das Problem an der ganzen Geschichte ist, das diese gehackte ... Wiesner
naja einen Ersten Schutz gibt es ja schon ... robinx99
Und wie gibst du die ERSTE tastatur/maus frei? Irgendein ... reader
Wiedermal ein Super-Hype! Wenn ich einen USB-Stick teste ... Alter68er
Außer es befällt deinen usb-controller. reader
Das würde bedeuten, er wäre BS-Übergreifend. Das ist mir ... Alter68er
Hat nichts mit BS zu tun in dem sinne - es ist aber AFAI ... reader
Wo Du es ansprichst, ich ziehe den Lan-Stecker. EOD Alter68er
Naja bei der Installation von so einer Software bleibt die ... robinx99
Was ist, wenn die tastatur manipuliert ist? Die werden eh ... reader
Als Alternative hätte ich beinahe sowas geraten: ... andy11
Irgendwie stehe ich gerade auf der Leitung. Wie kommen denn ... Olaf19
Moin Olaf! Gerade bei Golem gelesen: ... Alter68er
Moin alter 68er, Den Artikel hatte ich schon gesehen, der ... Olaf19
Moin! So Richtig leuchtet es auch mir nicht ein. Aber: wird ... Alter68er
Ne, du musst den Stick nicht auseinanderbauen. Das geht ... mi~we
Wird diese Software denn automatisch heruntergeladen - bei ... Olaf19
Ne, die bösen Buben manipulieren die Sticks und müssen ... mi~we
Bis jetzt macht die Software noch nicht so viel ist ja auch ... robinx99
Das hätte ich normalerweise auch sofort verstanden, bis ... Olaf19
Moin! Nun trifft es wohl auch Linux: Fuzzing deckt ... Alter68er
Na das ist ja auch spannend!: Hmmmmmmmm... unter Windows ... Olaf19
Hallo Alter 68er, ... Kabelschrat
Na dann haben wir es wohl mit einer OS-Überschreitenden ... Alter68er
robinx99 Olaf19 „Das hätte ich normalerweise auch sofort verstanden, bis ...“
Optionen
Eine Firmware verändert man aber nicht über Drag and Drop o.ä. simple Methoden, sondern nur durch gezieltes Flashen. Mich wundert etwas, dass auch so etwas wieder ohne Wissen, geschweige denn Einwilligung des Users vonstatten geht.

Naja da die BAD USB Sticks auch Tastaturen emulieren kann ist sie zumindest in der Lage die UAC Aufforderung wegzudrücken (setzt natürlich vor raus das der Nutzer ein Administrator ist)

Und der Trivialste Weg wie so ein Stick ein Program auf einen Rechner bekommen kann dürfte in etwa so aussehen

Windowstaste + R
CMD
copy con base64decrypt.vbs (VBS Script schreiben das base64 dateien decodieren kann)
copy con virus.base64 (Virus als Base64 Datei schreiben)
base64decrypt.vbs starten (das aus dem Virus eine .exe Datei macht)
virus.exe starten
UAC Aufforderung wegklicken

Und schon ist das System kompromittiert grundsätzlich kann ein Nutzer das schon sehen, aber wenn der Angriff so weit erweitert wird das irgendwie erkannt wird das der Nutzer nicht mehr vor dem Rechner sitzt bzw. man das CMD Fenster minimiert (verkleinert oder verschiebt) dann wird es schon schwerer vor allem geht so ein tippen von einem Programm mit einer Virtuellen Tastatur sehr schnell. Und auch ein anderes OS ist natürlich angreifbar man könnte bei Linux Alt-F2 und dann "term" aufrufen dürfte bei den meisten Distris auch funktionieren

So lange keine Passwort Eingabe gebraucht wird ist das schon ein brauchbarer angriff.

Und klar erweiterte Angriffe sind noch spannender wenn der USB Stick keine Tastatur emuliert sondern evtl. eine USB Netzwerkkarte die dann den Traffic abfängt und evtl. sogar on the fly Binärdateien infizieren kann.

Und naja das Flashen muss das OS ja Beherrschen immerhin gibt es auch Hardware die mal eine Neue Firmware bekommt und so lange das nur ein Klick ist der als Bestätigung ausreicht kann man das halt mit einer Virtuellen Tastatur wegklicken. Klar das eingeben eines Passworts gibt zusätzliche Sicherheit wäre aber auch nicht das erste mal wenn es Exploits gibt die Lokalen Nutzern Root / Administratoren Rechte geben.

robinx99

bei Antwort benachrichtigen
Hi Robin, danke an dieser Stelle für deinen ausführlichen ... Olaf19
Hallo Olaf, die Gangster beschäftigen sehr gute ... Kabelschrat
Ist alles wegen der anscheinend nicht mehr zeitgerechten ... Xdata
Stimme dir zu 99 zu, bis auf einen Teilaspekt: den ... Olaf19
Danke, genauer kann man es nicht formulieren .. Die ... Xdata
Mir wäre vor allem der Unterschied zwischen Wartung vor ... Olaf19